你只需要知道,我們需要對這些信息進行重點防御
人員安全是目前企業安全最難做的一塊,沒有之一,這方面沒有人寫過專業的文章,而目前所有的企業都存在這方面的問題,比如員工把服務器和后臺密碼直接明文保存在云筆記和網盤中,員工企業郵箱密碼跟外部個人密碼一致等等,通常黑客在入侵的時候只要在微博搜索一個目標公司的員工,拿到常用密碼后登陸郵箱,然后在通訊錄和郵件中收集其他技術崗位員工的聯系方式,最后登錄他們的郵箱和云筆記等去翻一些VPN、SVN、SSH等密碼,整個過程簡單直接有效,而且越大的企業這個問題越嚴重。
針對人員的入侵基本都會用到社會工程學的手段,那么作為人員,我們該如何認識到,哪些信息會被黑客們盯上?他們又通過什么方式進行收集和解析?
通常黑客都會從公司的系統以及員工個人賬戶開始入手收集信息,公司的包括企業郵箱、OA系統、SVN、運營系統、運維系統等等,個人賬戶像云筆記、網盤、電商網站、招聘網站等,這些網站一般都有很多敏感的個人信息,整個入侵的大致思路如下,其中比較關鍵的密碼環節,黑客怎么樣才能拿到員工的常用密碼,通常有以下幾種情況:
1. 社工庫查詢
根據個人信息進行關聯挖掘。如果只是用一個郵箱搜一下,那你可能只能得到這個人的一個密碼,但是如果你通過這個密碼進行搜索,就能關聯出他的另外一個郵箱地址,然后再搜索這個郵箱地址,很大可能就找到了他的第二個常用密碼,畫個圖表示一下
2. 猜密碼
這里說的猜密碼不是盲目的123456,那是暴力破解,猜密碼是指根據目標人的個人信息和習慣去分析他可能會使用的密碼是多少,我根據經驗專門寫了一個網站叫猜密碼,地址是www.caimima.net,成功率還是非常高,因為普通人使用密碼有兩個習慣
- !使用個人信息作為密碼,如cxx19880516(陳萱萱的生日是1988年5月16日)。
- !每次改密碼只會修改前面或者后面一兩個數字或者字母, 再者就是調整下順序。
3. 暴力破解
在根據個人信息生成密碼之后,我們就可以利用這些密碼進行暴力破解,另外一些大多數人的常用密碼如123456、1qaz2wsx一類我們稱為弱口令,可以專門整理一本字典進行爆破,我個人根據經驗手寫了一批字根生成了一份20萬條的密碼字典,用來爆破的成功率也是非常高。
爆破也不僅僅是爆破密碼,用戶名需要爆破,在不知道密碼和用戶名的情況下就進行爆破叫做盲爆,通常國內企業郵箱的前綴都是個人姓名的拼音,如陳萱萱的郵箱可能是chenxuanxuan@example.com,我將互聯網泄露的幾千萬姓名轉換成拼音,然后按重復次數進行去重排序,用這個字典爆破企業郵箱,用戶名為姓名拼音,密碼為姓名拼音,姓名拼音后面加123或者520這類的形式,屢試不爽,這樣盲爆的情況下一般總能爆破出來不少,最多的一家企業爆破出來了將近60個員工的郵箱密碼。
4. 入侵個人網站及電腦獲取密碼
這種方式很有效果,一些技術員工很多都有個人博客或者論壇一類,我們只要入侵這個博客,在博客數據庫里面翻他的密碼,或者修改一下網站代碼,加段截獲密碼的代碼,就能拿到他的明文密碼。另外關于入侵個人電腦,這得結合一些社會工程學的方式,文章開頭的故事就是很好的例子,手段多種多樣,之前有一個段子說的,一個黑客為了入侵某家企業,花了兩千塊錢叫一個小姐專門陪目標公司的網絡管理員裸聊,通過小姐將一個木馬發送給了這個管理員,成功入侵了這家公司。
哪些信息是你真正必須重視的?我想你應該已經有所了解了。
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
